思科威脅研究部門的主管Earl Carter
圖片來源: 

李宗翰攝影

網際網路的世界中,為了促銷各種商品與業務,廣告幾乎無所不在,但如今這些行銷網頁、網站,也已成為惡意人士發動大量攻擊的主要途徑之一。根據思科Talos安全情報與研究事業群的分析,運用線上廣告來執行攻擊的手法,包括:嵌入其他網頁的廣告、下載非必要的廣告程式(PUA)、點擊廣告詐騙(Clickfraud)、惡意網頁廣告攻擊(Malvertising)。而12月1日舉行的台灣駭客年會HITCON Pacific 2016上,思科威脅研究部門的主管Earl Carter特別呼籲與會者需注意這類威脅,以及介紹他們先前對於的處理經驗。

在惡意網頁廣告攻擊過程當中,漏洞攻擊包會趁使用者以瀏覽器檢視一些網頁時,發起初期重新導引連結的動作,而這個攻擊點稱為「旋轉門(Gate)」,通常是被侵入的網站或是惡意的網路廣告平臺,同時,該處的存在,也讓漏洞攻擊包能夠做到快速轉移的效果——攻擊者可快速更換實際的惡意伺服器所在位置,而不需改變初始重新導引的動作,如此一來,漏洞攻擊包能夠產生作用的期間,就可以維持得更為長久,不必為此經常修改位於感染源頭的網站或廣告內容。

而以惡意網頁廣告所用的漏洞攻擊包來說,ShadowGate這個「門」是由Talos所發現和命名的,並且在今年馬來西亞Hack In The Box大會上首度對外公布。不過,ShadowGate其實在2015年就被找到,但一直沒有明顯活動的跡象,直到後來開始發動大規模的網路流量,它能引發全球性的攻擊,因此遭殃的網站也遍布全世界——例如,影響了美國、加拿大、中東、中國、紐西蘭等地區的網站,而且有人指出,當中用的是一套名為Neutrino的漏洞攻擊包,攻擊過程中,會散播各種惡意程式彈頭(payload),例如勒索軟體。

既然ShadowGate的活動開始曝光,企業開始採取一些動作,希望能扼止威脅。例如,ShadowGate名稱的由來,就是因為運用對主機進行網域名稱掩護(Domain shadowing)的手法,來主導整個活動,而且Talos發現部分是經由GoDaddy這類主機代管商來註冊網域名稱,所以Talos也和GoDaddy合作,請他們協助禁用相關的網域名稱。而在封鎖之初,旋轉門也轉移陣地,於是他們又繼續追蹤下去,發現了第二組伺服器的活動,隨後GoDaddy就關閉了該網域名稱的使用。

Earl Carter提到,與GoDaddy的密切合作,對於能否有效阻絕惡意網頁廣告攻擊,是至關重要的因素,所以,現在的漏洞攻擊包所用的「旋轉門」,已經遭到破壞,連帶地,Neutrino漏洞攻擊包在全球各地進行大量感染的態勢,也因此減緩了。

該怎麼看待ShadowGate這個攻擊事件?Earl Carter提出警告,他說,漏洞攻擊包影響範圍,已經擴及全世界,各大洲都受到這個威脅的衝擊,而且,他們目前已經發現相關的惡意網頁廣告,已經出現英、中、阿等三國語言的內容。因此,他認為關於線上廣告內容的資安問題,仍是未來的重大挑戰,並呼籲網站經營者除了要專注營收之外,更要重視安全風險。

熱門新聞


Advertisement